حملة خبيثة لسرقة العملات الرقمية عبر مراجعات وذكاء اصطناعي

في ظل التطور المتسارع لعالم العملات المشفرة، كشفت أبحاث تقنية حديثة عن حملة سيبرانية معقدة للغاية تقودها جهة تهديد مجهولة، تعتمد على استراتيجيات تسويقية احترافية تماثل ما تستخدمه العلامات التجارية الكبرى لنشر برمجيات خبيثة متطورة. وتعتمد هذه الحملة، وفقاً لما رصده فريق "تيكبامين"، على تزييف السمعة الرقمية عبر منصات موثوقة لجر الضحايا إلى فخ تحميل برمجيات لسرقة المحافظ الرقمية، في تطور خطير لأساليب الهندسة الاجتماعية.

بدلاً من الاعتماد على الروابط المشبوهة التقليدية، قرر المهاجمون استئجار مساحات إعلانية ومنشورات ترويجية على مواقع إخبارية شرعية ومرموقة لإثارة ضجة حول أدواتهم البرمجية التي يطلقون عليها اسم "Warez". هذا النهج يعكس تحولاً جذرياً في كيفية بناء الثقة الزائفة، حيث يتم استغلال سمعة المواقع الإخبارية الكبرى كغطاء لنشاط إجرامي يهدف في النهاية إلى إفراغ أرصدة المستخدمين من العملات الرقمية.

ما هي آلية عمل حملة "كريبتو كليبر" الجديدة؟

تعتمد الحملة على نظام بيئي متكامل تم تصميمه بعناية لضمان أعلى مستويات المصداقية الزائفة. يبدأ الأمر بصفحة تصيد مركزي تعتمد على منصة "WordPress"، وتعمل هذه الصفحة كمركز انطلاق لكافة العمليات. ومن هناك، يتم توجيه المستخدمين إلى مشاريع على منصتي "GitHub" و"SourceForge"، وهي منصات يثق بها المطورون والمستخدمون التقنيون بشكل أعمى تقريباً.

كما رصد خبراء الأمن السيبراني وجود قناة على منصة "YouTube" ومجموعة من الحسابات المنسقة التي تعمل بنشاط على منصة "VirusTotal". الهدف من هذا النشاط المنسق هو التلاعب بأنظمة تصنيف الملفات، ومحاولة تصنيف الملفات الضارة على أنها آمنة وسليمة، مما يخدع برامج الحماية والمستخدمين الحذرين على حد سواء.

استراتيجية تزييف السمعة الرقمية

تستخدم جهة التهديد ما يسمى بـ "اقتصاد السمعة المزيف"، وهو أسلوب يعتمد على عدة محاور لتعزيز الثقة:

• تضخيم أعداد التحميل: استخدام مزارع بوتات لرفع أعداد مرات التحميل على منصات مثل SourceForge للإيحاء بشعبية الأداة.
• المراجعات الخمس نجوم: تنسيق تعليقات إيجابية مكثفة لإقناع الضحايا المحتملين بجودة وأمان البرمجية.
• مقاطع فيديو تعليمية: استخدام قنوات يوتيوب تقدم شروحات بأسلوب المؤثرين التقنيين.
• الذكاء الاصطناعي: توظيف رواة صوتيين مولدين عبر الذكاء الاصطناعي لإضفاء لمسة احترافية على مقاطع الفيديو.

وفقاً لتقرير نشره فريق البحث واطلعت عليه "تيكبامين"، فإن المهاجم استعار حرفياً "كتيب القواعد" الذي تستخدمه الشركات الشرعية لبناء علاماتها التجارية. والنتيجة هي وهم كامل بالأمان يحيط بالضحية من كل جانب قبل أن يضغط على زر التحميل.

كيف يتم استهداف متداولي Solana وPump.fun؟

الهدف النهائي من هذه الحملة الضخمة هو دفع برمجية خبيثة من نوع "Cryptocurrency Clipboard Hijacker" (خاطف حافظة العملات الرقمية). يتم إخفاء هذه البرمجية داخل أدوات يبحث عنها المهتمون بالربح السريع، مثل بوتات القنص (Sniper Bots) الخاصة بشبكة Solana ومنصة Pump.fun، بالإضافة إلى برمجيات تتنبأ بنتائج ألعاب القمار عبر الإنترنت (Crash Games).

هذا الاختيار للأهداف ليس عشوائياً، بل يستهدف بدقة حاملي الأصول الرقمية والمقامرين الذين يبحثون عن اختصارات تقنية لتحقيق مكاسب سريعة. هؤلاء المستخدمون غالباً ما يكونون أكثر استعداداً للمخاطرة بتحميل أدوات من مصادر غير رسمية في سبيل الحصول على ميزة تنافسية في السوق.

التحليل التقني لبرمجية Clipper المعتمدة على Rust

تتميز البرمجية الخبيثة بأنها مكتوبة بلغة "Rust"، وهي لغة برمجة قوية تمنح المهاجمين قدرة على استهداف أنظمة متعددة بكفاءة عالية. إليك أبرز الخصائص التقنية لهذه البرمجية:

• تعدد الأنظمة: تستهدف البرمجية كلاً من نظامي التشغيل Windows وmacOS، مما يوسع دائرة الضحايا.
• المراقبة المستمرة: تقوم البرمجية بمراقبة حافظة النظام (Clipboard) بشكل دائم للبحث عن أي محتوى يتطابق مع نمط عناوين محافظ العملات الرقمية.
• استبدال العناوين: بمجرد رصد عنوان محفظة، تقوم البرمجية فوراً باستبداله بعنوان يتحكم فيه المهاجم من قائمة معدة مسبقاً.
• تحويل الأصول: عندما يقوم المستخدم بعملية "لصق" للعنوان لإرسال العملات، فإنه في الواقع يرسلها إلى محفظة المخترق دون أن يشعر.

ما يميز هذا النشاط هو استخدام ما يعرف بـ "Ghost Networks" (شبكات الأشباح) لتسميم أنظمة السمعة مثل VirusTotal. يهدف المهاجمون من ذلك إلى تقليل الشكوك وزيادة ثقة الضحايا في الملفات الضارة من خلال مزيج من التصويتات الإيجابية والتعليقات المادحة للغاية.

استغلال منصات التطوير والتعاون التقني

يمتد هذا السلوك المخادع ليشمل منصة GitHub، حيث تدير جهة التهديد ما لا يقل عن ستة حسابات مختلفة للترويج المتبادل وتوزيع البرمجيات الخبيثة. هذه الإشارات المعززة اصطناعياً مصممة لتهدئة حذر المستخدمين وإعطائهم شعوراً زائفاً بالأمان. أحد المستودعات البرمجية (Repository) التابعة لهم حصل على 146 نجمة و62 عملية فرع (Fork)، مما يعطي انطباعاً بأنه مشروع موثوق ومدعوم من المجتمع التقني.

فضيحة الأرقام على منصة SourceForge

على منصة SourceForge، وصلت أرقام التحميل إلى مستويات مذهلة بلغت 44,485 تحميلاً. ومع ذلك، كشف التحليل عن تفاصيل مريبة للغاية؛ حيث أن 37,460 من هذه التحميلات جاءت من أجهزة أندرويد، رغم أن المطور لا يقدم سوى نسخ لأنظمة ويندوز وماك فقط!

تفسر "تيكبامين" هذه الظاهرة بأنها ناتجة عن استخدام "مزارع أندرويد" (Android Farms) لرفع أعداد التحميل بشكل وهمي على المنصة، وهي وسيلة رخيصة وفعالة لإيهام المستخدمين بأن الأداة واسعة الانتشار وموثوقة من قبل آلاف الأشخاص حول العالم.

دور اليوتيوب والذكاء الاصطناعي في الخديعة

لإحكام الفخ، يتم الترويج لهذه الحلول البرمجية عبر قناة مخصصة على YouTube تضم أكثر من 91,000 مشترك. تم إنشاء القناة في يوليو 2020، ويدعي مشغلوها أنها "لأغراض تعليمية فقط" لإبعاد الشبهات القانونية عنهم. تتميز مقاطع الفيديو التعليمية باستخدام رواة صوتيين تم إنشاؤهم بواسطة الذكاء الاصطناعي، مع إغراق قسم التعليقات بآراء إيجابية لتعزيز وهم الشعبية والمصداقية.

أخطر أجزاء الحملة: استغلال البيانات الصحفية

لعل الجانب الأكثر غرابة وخطورة في هذه الحملة هو استخدام المهاجم لخدمات توزيع البيانات الصحفية مثل "EIN Presswire" لتسويق قدرات أداته المزعومة. وبما أن هذه الخدمة ترتبط بشراكات مع مواقع إخبارية كبرى، فقد تم نشر البيان الصحفي الخبيث عبر شبكة "USA TODAY Network" ومواقع إخبارية رصينة أخرى.

إن التلاعب بالعواطف والسمعة عبر المنصات التي تعتمد على مساهمات الجمهور (Crowd-sourced platforms) يمثل تحولاً جوهرياً في كيفية بناء المهاجمين للثقة. وبحسب تقرير البحث، فإن نفس الأسلوب المعتمد على السمعة المزيفة والترويج الشرس عبر المنصات يمكن استخدامه مستقبلاً لتوزيع برمجيات فدية (Ransomware) أو برامج سرقة معلومات تستهدف أهدافاً أكثر حيوية وقيمة.

كيف تحمي نفسك وأموالك الرقمية؟

تؤكد "تيكبامين" على ضرورة توخي الحذر الشديد عند التعامل مع أي أدوات برمجية تعد بمكاسب سريعة في سوق الكريبتو. إليك بعض النصائح الذهبية لتجنب الوقوع ضحية لهذه الحملة:

• التدقيق اليدوي: دائماً قارن بين عنوان المحفظة الذي قمت بنسخه والعنوان الذي قمت بلصقه، حرفاً بحرف.
• استخدام المحافظ الباردة: المحافظ العتادية توفر طبقة حماية إضافية تمنع تحويل الأموال دون تأكيد فيزيائي.
• لا تثق بالأرقام: تذكر أن النجوم على GitHub وأعداد التحميل على SourceForge يمكن تزييفها بسهولة.
• الحذر من أدوات "Warez": تجنب تحميل بوتات التداول أو برمجيات التنبؤ بالألعاب من مصادر غير رسمية.
• تحديث برامج الحماية: تأكد من استخدام مضاد فيروسات قوي وقادر على رصد السلوكيات المشبوهة في الذاكرة والحافظة.

في الختام، يظهر هذا التقرير أن المهاجمين لم يعودوا يكتفون بالبراعة التقنية فحسب، بل أصبحوا خبراء في التسويق والتلاعب النفسي. إن الوعي التقني هو خط الدفاع الأول، ومتابعة التقارير التحليلية مثل ما تقدمه "تيكبامين" يساهم بشكل كبير في حماية أصولك الرقمية من التهديدات المتطورة.